Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Comience a utilizar AWS Private CA Connector for Active Directory
Con AWS Private CA Connector for Active Directory, puede emitir certificados desde su entidad de certificación privada a sus objetos de Active Directory para su autenticación y cifrado. Al crear un conector, AWS Private Certificate Authority crea un punto de conexión en la VPC para que los objetos del directorio soliciten certificados.
Para emitir certificados, debe crear un conector y plantillas compatibles con AD para el conector. Al crear una plantilla, puede establecer los permisos de inscripción para sus grupos de AD.
**Topics**
+ [Antes de empezar](#connector-for-ad-before-you-begin)
+ [Paso 1: Crear un conector](#connector-for-ad-getting-started-step1)
+ [Paso 2: Configurar las políticas de Microsoft Active Directory](#connector-for-ad-getting-started-step2)
+ [Paso 3: Crea una plantilla](#connector-for-ad-getting-started-step3)
+ [Paso 4: Configurar los permisos de grupo de Microsoft](#connector-for-ad-getting-started-step4)
## Antes de empezar
El siguiente tutorial le guía por el proceso de creación de un conector para AD y una plantilla de conector. Para seguir este tutorial, primero debe cumplir los requisitos previos que se enumeran en la sección.
## Paso 1: Crear un conector
Para crear un conector, consulte[Creación de un conector para Active Directory](create-connector-for-ad.md).
## Paso 2: Configurar las políticas de Microsoft Active Directory
El Conector para AD no puede ver ni administrar la configuración del objeto de política de grupo (Group Policy Object, GPO) del cliente. El GPO controla el enrutamiento de las solicitudes de AD al servidor del cliente Autoridad de certificación privada de AWS o a otros servidores de autenticación o venta de certificados. Una configuración de GPO no válida puede provocar que sus solicitudes se enruten incorrectamente. Los clientes deben configurar y probar la configuración del Conector para AD.
Las políticas de grupo están asociadas a un conector y puede optar por crear varios conectores para un único AD. Depende de usted administrar el control de acceso a cada conector si sus configuraciones de políticas de grupo son diferentes.
La seguridad de las llamadas al plano de datos depende de Kerberos y de la configuración de la VPC. Cualquier persona con acceso a la VPC puede realizar llamadas al plano de datos siempre que esté autenticada en el AD correspondiente. Esto existe fuera de los límites AWSAuth y la administración de la autorización y la autenticación depende de usted, el cliente.
Cuando AWS Managed Microsoft AD lo utilices, usa el Directory Service **enable-ca-enrollment-policy** comando para GPOs configurarlo en el controlador de dominio de la AWS Managed Microsoft AD instancia.
El siguiente comando permite inscribir controladores de dominio:
```
$ aws ds enable-ca-enrollment-policy \
--pca-connector-arn {{MyPcaConnectorAdArn}} \
--directory-id {{MyDirectoryId}}
```
Cuando utilices AD Connector, sigue estos pasos para crear un GPO que apunte al URI generado al crear un conector. Este paso es *necesario* para usar el Conector para AD desde la consola o la línea de comandos.
Configurar GPOs.
1. Abra el **Administrador de servidores** en el DC
1. Acceda a **Herramientas** y elija **Administración de políticas de grupo** en la esquina superior derecha de la consola.
1. Acceda a **Bosque > Dominios**. Seleccione su nombre de dominio y haga clic con el botón derecho en su dominio. Seleccione *Crear un GPO en este dominio y vincúlelo aquí...* e introduzca `PCA GPO` para el nombre.
1. El GPO recién creado aparecerá ahora bajo su nombre de dominio.
1. Elija **PCA GPO** y seleccione **Editar**. Si se abre un cuadro de diálogo con el mensaje de alerta *Este es un enlace y los cambios se propagarán globalmente*, confirme el mensaje para continuar. Debería abrirse el **Editor de administración de políticas de grupo**.
1. En el **Editor de administración de políticas de grupo**, acceda a **Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de clave pública (elija la carpeta)**.
1. Acceda al **tipo de objeto** y elija **Cliente de servicios de certificación: política de inscripción de certificados**
1. En las opciones, cambie el **Modelo de configuración** a **Habilitado**.
1. Confirme que la **Política de inscripción de Active Directory** esté **marcada** y **habilitada**. Elija **Añadir**.
1. Debería abrirse la ventana **Servidor de políticas de inscripción de certificados**.
1. Introduzca el punto de conexión del servidor de políticas de inscripción de certificados que se generó al crear el conector en el campo **Introduzca el URI de la política del servidor de inscripciones**.
1. Deje el **tipo de autenticación** como **Windows integrado**.
1. Elija **Validar**. Una vez que la validación se haya realizado correctamente, seleccione **Agregar**. Se cierra el cuadro de diálogo.
1. Vuelva a la **Cliente de servicios de certificación: Política de inscripción de certificados** y marque la casilla situada junto al conector recién creado para asegurarse de que se trata de la política de inscripción predeterminada
1. Elija la **Política de inscripción de Active Directory** y seleccione **Eliminar**.
1. En el cuadro de diálogo de confirmación, elija **Sí** para eliminar la autenticación basada en el LDAP.
1. Seleccione **Aplicar** y **Aceptar** en la ventana **Cliente de servicios de certificación > Política de inscripción de certificados** y ciérrela.
1. Vaya a la carpeta **Políticas de clave pública** y elija **Cliente de servicios de certificación: inscripción automática**.
1. Cambie el **Modelo de configuración** a **Habilitado**.
1. Confirme que las opciones **Renovar certificados caducados** y **Actualizar certificados** estén marcadas. Deje las otras opciones como están.
1. Seleccione **Aplicar**, luego **Aceptar** y cierre el cuadro de diálogo.
A continuación, configure las políticas de claves públicas para la configuración del usuario. Acceda a **Configuración de usuario > Políticas > Configuración de Windows > Configuración de seguridad > Políticas de claves públicas**. Siga los procedimientos descritos desde el paso 6 hasta el paso 21 para configurar las políticas de claves públicas para la configuración del usuario.
Cuando haya terminado de configurar GPOs las políticas de clave pública, los objetos del dominio solicitarán los certificados de Autoridad de certificación privada de AWS Connector for AD y recibirán los certificados emitidos por él Autoridad de certificación privada de AWS.
## Paso 3: Crea una plantilla
Para crear una plantilla, consulte[Crear una plantilla de conector](create-ad-template.md).
## Paso 4: Configurar los permisos de grupo de Microsoft
Para configurar los permisos de grupo de Microsoft, consulte[Administre las entradas de control de acceso de la plantilla Connector for AD](ad-groups-permissions.md).